book_icon

Na Dark Web, cibercriminosos são motivados a atacarem seus concorrentes

Com implementação de armadilhas, Trend Micro detalhou modus operandi da Deep Web
Na Dark Web, cibercriminosos são motivados a atacarem seus concorrentes

Mercados clandestinos para vendas de bens e serviços, lavagem de criptomoedas, hospedagem de plataformas para malware e identidades roubadas ou falsificadas. Tudo isto e muito mais pode ser encontrado na Dark Web – que, em uma definição simples, é a parte obscura e anônima da Internet.

A principal descoberta da Trend Micro foi de que as organizações que atuam na Dark Web aparentemente atacam umas às outras

Em estudo, a Trend Micro, especializada na defesa de ameaças digitais e segurança na era da nuvem, verificou por meio dos proxies do Tor que a Dark Web não é tão secreta quanto parece. Aparentemente os cibercriminosos estiveram procurando por serviços operados por outras organizações e realizaram ataques manualmente. Como a indexação e a pesquisa são mais difíceis dentro da Dark Web, isso mostra o imenso esforço dos criminosos motivados para encontrar e desativar sites controlados por seus concorrentes.

O estudo conduzido pelo Laboratório de Pesquisas e Segurança da Trend Micro explorou uma parte menos discutida sobre a Dark Web para identificar quais as técnicas utilizadas pelos cibercriminosos com o objetivo de subverter ou espionar os serviços executados por outros de seus “concorrentes” hackers. Veja abaixo a dinâmica para a condução do estudo:

A construção do Honeypot: como atrair os cibercriminosos

A Trend Micro teve como principal objetivo analisar o modus operandi dos hackers que atuam na Dark Web. A armadilha foi criada com o propósito de imitar os serviços clandestinos, como mercados VIP e fóruns executados por organizações ou indivíduos duvidosos.

Para isso, a Trend Micro simulou uma instalação cibercriminosa no Tor utilizando várias honeypots. Cada honeypot expõe uma ou mais vulnerabilidades que permitiria ao invasor se apropriar da instalação. Após uma infecção, a Trend Micro automaticamente registrava todos os logs e restaurava o ambiente. A composição da honeypot – operada em um período total de 6 meses – consistia em:

  1. Um mercado negro no qual só se negocia com um círculo fechado de membros convidados;
  2. Um blog que oferece serviços personalizados e soluções para a Dark Web;
  3. Um fórum clandestino que só permite aos membros registrados fazer o login:
  4. Um servidor de arquivos privado para documentos confidenciais que oferece logins de protocolo de transferência de arquivos (FTP) e login Secure Shell (SSH).

Surface Web versus Deep Web

Dois meses após a implantação da honeypot, a Trend Micro constatou que a Dark Web não é tão privada quanto a maioria imagina. Proxies como o Tor2web, tornaram os serviços ocultos do Tor acessíveis, sem requerer qualquer configuração adicional da Internet pública.

A honeypot da Trend Micro foi automaticamente disponibilizada nos mecanismos de busca tradicionais e implicitamente usada como isca para um alvo de exploração automatizada de scripts. Como resultado, somente em maio, a armadilha recebeu mais de 170 ataques por dia.

Foram usadas diferentes técnicas pelos atacantes. Enquanto na Internet aberta, as ferramentas de ataque automatizadas se sobressaíram, na Dark Web os invasores executaram ataques manuais, pois eram geralmente mais cautelosos.

Os atacantes que contavam com esse cuidado extra, excluíam qualquer arquivo colocado na honeypot da Trend Micro. Outros, até mesmo deixaram mensagens como: “Bem-vindo à honeypot!”, indicando que tinha identificado a honeypot.

Os hackers parecem estar cientes de que os serviços ocultos comprometidos na Dark Web são minas de ouro, já que todos os ataques originais de DDoS ou SPAM se tornarão anônimos pelo Tor.

Cibercriminosos atacando uns aos outros

A principal descoberta da Trend Micro foi de que as organizações que atuam na Dark Web aparentemente atacam umas às outras.

Abaixo outros pontos-chave após a invasão dos atacantes na Honeypot da Trend Micro:

  • Tentativas de sequestrar e espionar as comunicações originárias da armadilha;
  • Roubo de dados confidenciais do servidor de arquivos FTP;
  • Monitoramento de conversas IRC por meio de logins para nossa plataforma simulada de chat;
  • Manual de ataques contra o aplicativo personalizado executado no fórum clandestino.
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.